A falta de informação das pessoas aliada à falta de segurança do Windows traz sérios riscos, não é de hoje. Um programa com código malicioso executado no computador pode fazer coisas das mais terríveis. Tudo bem, isso já é do conhecimento de todos, mas de qualquer forma as pessoas precisam usar seus computadores, e estes devem estar livres de pragas.
A cada dia inúmeros vírus se espalham por ai, e nem todos são detectados pelos antivírus. Dai vem a necessidade de removermos estas pragas manualmente!!!
Temos que colocar uma coisa na cabeça: quem está diante do sistema é uma pessoa. É a pessoa que deveria saber o que abrir, o que fazer e como agir, é assim que ocorre a maioria das infecções. Ninguém nasce sabendo, então trago aqui algumas noções importantes para detectar e eliminar boa parte dos malwares que infectam o Windows. Além, é claro, de tentar conscientizar um pouco sobre medidas de segurança que boa parte das pessoas sabem - ou pelo menos já ouviram falar - mas não se dão ao trabalho de cumpri-las.
Para podermos realizarmos os testes e aprendermos como remover essas pragas virtuais, precisamos de uma cobaia. Pensando nisto desenvolvi uma que não vai fazer mal algum ao seu computador, só vai abrir e fechar seu CD-ROM, Baixem a Cobaia aqui, primeiro leiam as instruções presentes no arquivo antes de instala-lo.
Para podermos realizarmos os testes e aprendermos como remover essas pragas virtuais, precisamos de uma cobaia. Pensando nisto desenvolvi uma que não vai fazer mal algum ao seu computador, só vai abrir e fechar seu CD-ROM, Baixem a Cobaia aqui, primeiro leiam as instruções presentes no arquivo antes de instala-lo.
Identificando e removendo um programa indesejado
O Windows por si só carrega diversos programas em execução (processos) próprios, para uso do sistema. Cada programa aberto também será considerado um processo, e listado, portanto, no gerenciador de tarefas e os malwares também ficarão por ali.
A ideia é listar ou decorar os nomes dos programas do Windows que sempre se iniciam, mais aqueles que você usa e que se iniciam automaticamente também (como seu antivírus, o firewall, etc). Com base nisso, você pode ir tentando fechar os malwares. Na dúvida, uma dica é copiar o nome do programa e jogar no Google. Se for um malware conhecido, provavelmente você irá encontrar páginas (normalmente de fóruns) relatando-o. Aí não resta dúvida, basta fechá-lo.
Acontece que o gerenciador de tarefas do Windows pode ser facilmente corrompido ou modificado, e é possível que um programa nem apareça nele. Além disso, alguns malwares bloqueiam o gerenciador de tarefas (usando recursos do próprio Windows, por incrível que possa parecer!). Para uma pescagem mais profunda, vamos usar outro gerenciador de tarefas.
Um muito bom é o Process Explorer NT. Ele é da SysInternals, que foi comprada pela Microsoft.
Ele lista todos os processos abertos e permite visualizar muitas informações sobre os mesmos. A listagem é hierárquica, ele mostra os processos e os processos que os originaram (o programa que abriu outro programa, numa linguagem mais clara). Clicando com o botão direito num item, pode-se matar o processo correspondente, fechando bruscamente o programa.
O fechamento dessa forma é essencial. Uma que os malwares normalmente não exibem janelas, não tem onde você clicar para fechar. Outra que, mesmo se exibissem, é diferente o comando que o sistema operacional envia ao programa para fechá-lo. Ao clicar no botão com o X numa janela, o Windows não necessariamente fecha o programa; ele diz ao programa que é para ser fechado. O programa pode fazer o que quiser, inclusive decidir se vai mesmo ser fechado ou não.
É isso que permite a um programa tomar a dianteira e exibir uma janela perguntando se você quer salvar um arquivo antes de fechá-lo, dando a opção de mantê-lo aberto, por exemplo. Se ele fosse fechado diretamente ao clicar no X, você perderia qualquer arquivo não salvo.
Aqui, o objetivo é justamente o contrário: fechar o programa "à força", "matar o processo", como se diz. O sistema operacional finaliza o programa e libera os recursos usados por ele (como a memória) sem notificá-lo. Algumas vezes complica um pouco, pois malwares mais elaborados podem manter duas instâncias de si mesmo, e se uma for fechada logo a outra detecta e a reabre. Mas com um pouco de paciência e prática, dá para se virar e tomar o controle. Afinal, o computador é seu, não do malware.
Esse Process Explorer NT permite até mesmo "pausar" um determinado programa, e continuá-lo depois. Estando "pausado", o programa continua aberto mas parece morto. Essas ações são feitas ao clicar com o botão direito no processo, dentro do Process Explorer NT.
Pode ocorrer de você fechar um programa inofensivo realmente, por desconhecer o nome dele. Normalmente isso não lhe trará problema algum, bastará reabrir o programa que foi fechado depois. Tome o cuidado de não manter arquivos abertos ou documentos não salvos enquanto fecha os programas suspeitos, e também evite fazer isso conectado à Internet. Simples: você pode fechar seu firewall sem querer e continuar por horas navegando - sem perceber que abriu as portas do seu computador para o mundo.
Bem, fechado o programa, você pode excluir o arquivo correspondente a ele. Tome cuidado aqui, para não excluir um arquivo errado, do sistema ou de outro programa bom que você use. Antes de excluir é bom pesquisar na Internet pelo nome do executável, ou então movê-lo para uma outra pasta, ou mesmo renomeá-lo com outra extensão (por exemplo, "coisax.exe" viraria "coisax.123").
Para excluir, você deverá saber onde se encontra o arquivo. A maioria dos spywares
Na guia "Modos de exibição" das opções de pasta (menu "Ferramentas > Opções de pasta", do Windows Explorer), marque o item "Mostrar todos os arquivos" na categoria "Arquivos ocultos". E desmarque o "Ocultar arquivos protegidos do sistema operacional". Ainda ali, desmarque a opção que oculta as extensões dos arquivos. Depois disso, basta tomar cuidado ao renomear seus arquivos, onde você deverá digitar o nome junto com a extensão, e não apague alguns arquivos que "aparecerão" na unidade C:, como boot.ini, ntldr, etc. Esses arquivos são do sistema e ficam ocultos por padrão. Pedi para exibi-los pois assim ele não ocultará os outros arquivos, facilitando a localização dos malwares, inclusive usando o "Pesquisar".
Pronto. Agora ficou mais fácil localizar o arquivo no disco e excluí-lo. Quase sempre os spywares estarão dentro da pasta system32, ou pelo menos na pasta do Windows. Mande pesquisar na pasta "C:windows" incluindo subpastas; caso não o encontre ali, mande buscar então em todos os discos rígidos locais. Pesquisando apenas na pasta do Windows a pesquisa será mais rápida, já que o buscador não terá que vasculhar todo o seu HD :)
Fechado o programa, excluído o arquivo, agora falta remover o ponto de entrada de inicialização, que faz com que o programa seja carregado durante o boot do sistema. Os programas que se iniciam junto com o computador podem ficar configurados em alguns lugares diferentes no Windows. Uma forma básica de ver isso é usar o MSConfig, programinha que já vem com o Windows (exceto NT e 2000) e que lista os programas abertos. Clique no "Iniciar > Executar", digite msconfig e tecle enter. Na aba "Inicializar", localize os itens desejados e desmarque o suposto malware. Depois de desmarcado, clique em Aplicar > OK. Ele pedirá para reiniciar o computador, fica a seu critério reiniciar no momento ou depois.
Dica: desativando outros itens desnecessários pelo MSConfig também, fará com que o computador inicie um pouco mais rápido e use menos memória; mas cuidado para não desativar programas importantes, como o firewall, antivírus (se você usar), etc.
Importante: sempre remova a entrada de inicialização do programa com ele fechado. Se você não fizer isso, alguns programas ficam regravando as chaves no registro enquanto estão abertos, justamente para que se você remova, logo eles regravam e serão inicializados depois, na maior cara de pau. Com eles fechados, simplesmente não têm como regravar.
Nem sempre será fácil remover programas indesejados dessa forma, mas boa parte deles podem ser removidos assim, por incrível que possa parecer :)
Outra dica é iniciar o computador limpo, sem spywares, e anotar os nomes dos programas que se iniciam automaticamente (seja pelo Process Explorer NT ou pelo próprio gerenciador de tarefas). Boa sorte :)
Outras formas de detectar programas que se iniciam automaticamente
Há diversas formas. As mais comuns são pelas chaves do registro:
· HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run
· HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > RunOnce
· HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > Run
· HKEY_CURRENT_USER > Software > Microsoft > Windows > CurrentVersion > RunOnce
Mas há também a pasta "Inicializar" no menu "Iniciar > Programas". Alguns programas criam entradas ali, para esta é mais fácil: basta excluir o atalho. Clique em "Iniciar > Programas > Inicializar"; depois, clique com o botão direito no item desejado (se houver) e mande excluir.
Para as chaves do registro... Se você não mexe muito com o registro, cuidado: não saia fuçando em tudo. Exclua apenas entradas que você tenha certeza que podem ser excluídas, pois editar incorretamente o registro pode fazer com que o Windows nem seja iniciado - claro que isso poderá ser corrigido, mas poderá não ser tão fácil.
Nota: o "registro", caso você não saiba, é um banco de dados de configurações usado pelo Windows e por diversos programas. O "editor do registro", programa "regedit", é uma interface que vem com o Windows que permite modificar as configurações gravadas no registro. O termo "registro" aqui não tem nada a ver com cadastro ou pagamento :p
Abra o editor do registro ("Iniciar > Executar" > digite regedit e dê OK). Ele tem o visual parecido com o do Windows Explorer, tratando as chaves do registro como se fossem "pastinhas". À esquerda, localize as chaves e subchaves conforme indicam as setas nos caminhos indicados mais acima, até chegar na "Run" ou "RunOnce". À direita são listadas as entradas referentes à chave selecionada à esquerda, que no caso, correspondem aos programas que se iniciam automaticamente com o computador. Selecione o do malware e delete, usando a tecla Del mesmo do teclado. Como falei, cuidado ao fazer isso; se não se sentir seguro, prefira usar o MSConfig ou esse outro programa que indicarei agora.
Também da SysInternals (agora Microsoft) um bom software é o AutoRuns. Ele lista praticamente tudo o que se inicializa com o Windows, incluindo muitos itens não exibidos pelo MSConfig. Veja:
Ele é composto por várias abas de categorias. Com ele você pode desmarcar os itens e remarcá-los depois, caso se arrependa. Mas ainda assim, tome o cuidado de não desmarcar itens à toa, pois vários, "muitos" na verdade, correspondem a componentes essenciais do Windows. Por meio dele pode-se desativar extensões do Explorer, do logon, do IE, drivers de dispositivos e outros componentes. Ele é muito importante, deveria vir de fábrica com o Windows.
Removendo vírus de pen-drive e de outras mídias
É muito comum hoje ver pen-drivers infectados com vírus. Agora vamos remover estas pragas na mão!!! Primeiro vamos ver por onde estes inicializam... A maioria utiliza o arquivo Autorun.inf para inicializar, pois este arquivo contem as configurações de auto execução quando plugamos o pen-drive ou a mídia (Cd’s, Câmeras, Disquetes e etc) no sistema, esse arquivo pode estar configurado para inicializar um programa com um código malicioso. Vejamos a estrutura básica desse arquivo abaixo:
[autorun]
open=RECYCLER/Virus.exe
icon=Icone.ico
Se o seu pen-drive estiver com um vírus, basta abrir o Autorun.inf e visualizar o nome e o local onde ele está, matar o processo, e apagar o executável; no exemplo acima o vírus tem o nome de Virus.exe, mataríamos o processo com este nome e apagaríamos o Autorun.inf e o Virus.exe de dentro da pasta RECYCLER.
[autorun]
open=RECYCLER/Virus.exe
icon=Icone.ico
Se o seu pen-drive estiver com um vírus, basta abrir o Autorun.inf e visualizar o nome e o local onde ele está, matar o processo, e apagar o executável; no exemplo acima o vírus tem o nome de Virus.exe, mataríamos o processo com este nome e apagaríamos o Autorun.inf e o Virus.exe de dentro da pasta RECYCLER.
Mas lembrando que muitas das vezes não conseguimos visualizar estes arquivos, para resolver isto mude as configurações de opções de pasta, vistas neste tutorial.
Nem sempre os vírus inicializam pelo Autorun.inf, as vezes eles se disfarçam de um arquivo, atalho ou pasta para que o usuário execute-o. Neste caso é preciso analisar os arquivos e pastas do pen-drive para localizarmos o tal vírus. Desconfie de qualquer arquivo terminado em .exe no pen-drive que não estava por lá há algum tempo, e verifique se atalhos estão se disfarçando de pastas ou de arquivos (clique com o direito vá em Propriedades, e olhe o tipo de arquivo, no caso seria aberta uma aba com o nome “atalho”).
Fonte: http://www.guiadohardware.net/tutoriais/removendo-malware-raca/
Adaptado por: Vert
0 comentários: